In einer grossangelegten Kampagne sind Angreifer offenbar an Fortinet- und Fortigate-VPN-Zugangsdaten gelangt. Über die Firewalls von Fortinet hätten sie sich nahezu unbeschränkten Zugang zu Organisationen weltweit verschafft, warnen Sicherheitsforschende vor der "Fortibleed" getauften Kampagne. Es handle sich um eine der grössten bekannten Sammlungen kompromittierter Fortinet-Zugangsdaten.

Die ursprünglich vom Sicherheitsforscher Volodymyr "Bob" Diachenko entdeckten Daten würden eine massive, automatisierte Operation enthüllen. Angreifer hätten erfolgreich rund 74'000 verschiedene Firewall-URLs in 194 Ländern – darunter auch die Schweiz – attackiert, was rund 21'000 betroffene Domains zur Folge hatte. Dies entspreche etwa 50% aller Fortinet-Firewall-Geräte, die aktuell mit dem Internet verbunden sind.

Das Security-Unternehmen Hudson Rock hat die Daten ebenfalls analysiert und spricht von einem "erschreckenden" Ausmass. "Das Ausmass dieses Sicherheitsverstosses betrifft nahezu alle Sektoren der Weltwirtschaft und macht vor keiner Branche Halt. Die Angreifer haben eine verifizierte Datenbank mit Zugangsdaten für einige der grössten Unternehmen der Welt aufgebaut", heisst es in einem Blogbeitrag. Zu den identifizierten Opfern würden Konzerne wie Samsung, Oracle, Lenovo, Sony, Comcast, Siemens und Accenture gehören.

Die Angreifer würden systematisch direkt in interne Active-Directory-Umgebungen eindringen, um sich dauerhaft im Netzwerk zu etablieren. Noch ist unklar, wie sie an die Zugangsdaten gelangt sind. Sicherheitsforscher Diachenko geht von einer russischsprachigen, mehrere Betreiber umfassenden Gruppe aus, die ungeschützte Fortigate-Systeme, frühere Datenlecks und Infostealer-Logs nutzte, um den Zugriff in grossem Umfang zu testen. Hudson Rock vermutet, die Angreifer hätten über eine Milliarde Anmeldeversuche gegen mehr als 320'000 Fortisate-Ziele durchgeführt, sowie 2,1 Milliarden Brute-Force-Angriffe gegen mehr als 160'000 MSSQL-Server.

Fortinet erklärte in einem Statement gegenüber 'The Register': "Unsere Analyse zeigt, dass es sich bei den betroffenen Daten um die erneute Weitergabe von Daten aus früheren Vorfällen sowie um Brute-Force-Angriffe auf Zugangsdaten handelt. Sie stehen in keinem Zusammenhang mit einem aktuellen Vorfall oder einer Warnung. Organisationen, die die gängigen Best Practices befolgen, einschliesslich der regelmässigen Aktualisierung von Sicherheitszugangsdaten, sind einem minimalen Risiko durch die in dem Bericht erwähnten Details zur Kompromittierung von Zugangsdaten ausgesetzt." Das Unternehmen werde den Bericht weiterhin untersuchen. Bei den Empfehlungen verweist Fortinet auf einen Blogbeitrag vom März.

Hudson Rock hat ein Tool online gestellt, mit dem sich überprüfen lässt, ob eine Organisation von "Fortibleed" betroffen ist. Das Tool hat aber eine Einschränkung: Es benötigt die Domainnamen der betroffenen Systeme. Die überwiegende Mehrheit der Fortinet-Edge-Systeme gibt den Domainnamen des Besitzers jedoch nicht preis.

Allen, die im Datensatz auftauchen, empfiehlt die Security-Firma, unverzüglich die Passwörter für Fortinet-VPN und administrative Schnittstellen zu ändern, Multi-Faktor-Authentifizierung zu erzwingen, Gateway-Protokolle auf verdächtige Aktivitäten zu überprüfen sowie proaktiv die Zugangsdaten von Mitarbeitenden und Drittanbietern zu überwachen.